





Cursos, soluções e serviços baseados 
em software livres e padrões abertos 
para ambientes de missão crítica 
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FREE 
"Experiência em missão crítica 


"Pioneira no ensino de Linux a distância 





4LINUX 


"Parceira de treinamento IBM 3 Softer Lie 


"Primeira com LPI no Brasil 





=+ de 30.000 alunos satisfeitos 
"Reconhecimento internacional 


"inovação com Hackerteen e Boteconet 








Debian 6: Instalação 
e Hardening 
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=> As 05 primeiras perguntas ganharão um botton do 
tux. 
=> Sorteio do curso: 457 - Linux Network Servers 


*Preencham o cupom que está no folheto que vocês receberam 
na entrada da palestra; 


“Se você já preencheu, ele já está aqui na urna 


“O ganhador deve estar presente até o quinto sorteio. Se não 
estiver presente ganhará o sexto sorteado 
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Oportunidades 


* Apertar parafusos é fácil. Saber qual apertar poucos sabem 


* Existem poucos profissionais qualificados no mercado. 


e Cada vez mais empresas adotam software livre. 








Instalacáo e Hardening 


Será que basta instalar uma distribuicáo 
linux para criar um servidor? 








Antes da Instalação 


Planejamento: 


* Quais serviços serão instalados? 
e Quantos usuários? 

e Qual a média de acesso? 

e Pensar em redundancia!! 











Hardening na instalação GLEN Es <= 


e Particionamento 
boot 
/ 
[home 
/usr 
/var 
/var/log 
/tmp 
swap —> preferencialmente SSD 


e Para evitar qualquer problema com tamanho de 
partições use LVM!!! 





Hardening na instalação FLEN U da 


e implementar RAID para espelhamento 
(Redundância!!!) 


e Senha segura para o root/usuário principal 


e Desabilitar na BIOS o que não será utilizado: 
Portas Serials 
Portas Paralelas 
Floppy Disk 
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Os pacotes precisam vir de uma fonte segura: 
# vi letc/apt/sources.list 


deb http://ftp.br.debian.org/debian/ squeeze main 


Para garantir que a fonte é segura: 
# apt-get install debian-keyring 
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Se quiser utilizar o sudo, cuidado! 


# aptitude install sudo 
# vi /etc/sudoers 
usuario ALL=(ALL) ALL 


Os demais usuários do sistema não devem ter 
acesso ao sudo!! 
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Hardening no Sistema 
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Desabilitar terminais para agilizar boot: 
# vi letc/Inittab 


1:2345:respawn:/sbin/getty 38400 tty1 
2:23:respawn:/sbin/getty 38400 tty2 
3:23:respawn:/sbin/getty 38400 tty3 

# 4:23:respawn:/sbin/getty 38400 tty4 
# 5:23:respawn:/sbin/getty 38400 tty5 
# 6:23:respawn:/sbin/getty 38400 tty6 


A 
» 
n 
hi 


Hardening no Sistema 


( 
lh 


=" 
A 
[T1 
m 
Lun 
O 
= 
= 
= 
a 
A 
un 
O 
[= 
= 
=| 
e 
= 
un 


Ainda no letclinittab: 
ca:12345:ctrlaltdel:/sbin/shutdown -t1 -a -r now 


Comentar ou modificar a ação! 


Exemplo: 
ca:12345:ctrlaltdel:/bin/echo “Você pressionou 
Control+Alt+Del” 
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Alteracáo do uso da swap (se necessário): 


# cat /proc/sys/vm/swappiness 


# echo 'vm.swappiness = 0' >> /etc/sysctl.conf 
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Verificar servicos de rede com netstat: 
# netstat -nitup 
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Remover pacotes desnecessários: 


# aptitude remove --purge bsd-mailx exim4 exim4- 
base exim4-config exim4-daemon-light mutt 
procmail telnet 
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Apagar pacotes órfãos de sistema: 


# aptitude install deborphan 
# deborphan | xargs apt-get -y remove --purge 
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Hardening no Sistema 


Cuidados as opções de montagem do 
letc/fstab: 


/dev/sda2 /home ext4 defaults, noexec,nodev 0 0 
ext4  defaults,noexec,nodev O O 


/dev/sda3 /tmp 
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Atribuir logout automático: 


# vi /etc/profile 
TMOUT=1200 
HISTSIZE=100 
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Ao instalar o SSH Server para manutencáo 
remota: 


# vi /etc/ssh/sshd config 


Port 2222 
PermitRootLogin no 
LoginGraceTime 30 
IdleTimeout 15m 


Forward X11 no 
AllowUsers usuario1 usuario2 
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Limitando o acesso de root: 
# vi /etc/securetty 

tty1 

tty2 

# tty3 


# tty4 
# tty5 
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Utilize o PAM como seu aliado! 


Limitando o uso de memória e cpu dos usuários, 
evitamos o famoso forkbomb: 


QUI: & $: 








Hardening no Sistema 


Por padráo, qual o número máximo de processos que 
podem ser executados ao mesmo tempo? 
root@debian:/# ulimit -u 

unlimited 


Qual o tempo maximo de uso de cpu? 
root@debian:/# ulimit -t 
unlimited 


Qual o tamanho maximo de arquivo que os usuarios 
podem criar? 

root@debian:/# ulimit -f 

unlimited 
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Hardening no Sistema 


Limitando usuarios: 


# vim /etc/security/limits.conf 


«usuario/grupo» «tipo de limite» «recurso» «valor do limite> 


di hard nproc 100 

i hard cpu 480 

ü hard fsize 100000 
i hard maxlogins 2 

ii hard rss 100000 
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FREE SOF 


Ainda no PAM podemos limitar o acesso dos 
usuários por horário: 


# vi /etc/pam.d/login 
account requisite pam_time.so 


# vi /etc/security/time.conf 
servicos;ttys;usuarios;horario 


login;*;root;Al0600-2200 
sshd:*:bruna:Wd2100-2400 





Obrigado 





Bruna Griebeler 
bruna@A4linux.com.br 
www.4linux.com.br 
www.hackerteen.com 
twitter.com/4LinuxBR 


Tel: 55-11-2125-4747 





